Skip to content

Signatur prüfen

Überprüfen einer Signatur(datei) mittels graphischer Oberfläche unter Windows.

Verwendetes Softwarepaket:
GnuPT (beinhaltet GPG und WinPT)
(portable Version verfügbar)

Es wird davon ausgegangen, dass die Software bereits eingerichtet ist.

Um eine Signatur zu überprüfen, muss sich der öffentliche Schlüssel des Signierenden im Schlüsselbund befinden. Die graphische Oberfläche erkennt selbstständig, wenn sich der Schlüssel des Signierenden nicht im Schlüsselbund befindet und bietet den Import des öffentlichen Schlüssels von einem Schlüsselserver an.

Diese Anleitung beschreibt den Import des Schlüssels 0x63FEE659 von Erinn Clark und die Überprüfung der Signatur für das TorBrowserBundle für Windows.

Schritt 1: Quelle des öffentlichen Schlüssels

Um den öffentlichen Schlüssel von Erinn Clark von einem beliebigen Schlüsselserver herunterladen zu können, muss die ID des Schlüssels oder die E-Mailadresse des Signierenden bekannt sein.

Die Schlüssel-ID von Erinn Clark ist 0x63FEE659. Dies kann auf https://www.torproject.org/docs/signing-keys.html.en nachgesehen werden.

In anderen Fällen sollte die E-Mailadresse bekannt sein, oder der Signierende stellt einem seinen öffentlichen Schlüssel selbst zur Verfügung.

Schritt 2: Import des Schlüssels

– WinPT.exe starten (sollte sich danach im Tray befinden)
– Auf das Traysymbol klicken und „Schlüsselverwaltung“ auswählen
– Auf „Schlüsselserver“ klicken und die Schlüssel-ID eingeben oder einfügen
– Auf „Empfangen“ klicken

Nun sollte ein Fenster den erfolgreichen Import des Schlüssels mitteilen.

Schritt 3: Prüfen des Fingerabdrucks (fingerprint)

Wenn der Signierende einen Fingerabdruck seines Schlüssels zur Verfügung stellt, kann dieser wie folgt geprüft werden.

– In der Schlüsselverwaltung auf den importieren Schlüssel doppelklicken
– Den angezeigten Fingerabdruck mit dem zur Verfügung gestellten vergleichen

Der Fingerabdruck (fingerprint) des Schlüssels von Erinn Clark kann auf https://www.torproject.org/docs/signing-keys.html.en nachgesehen werden.

Hier ist es ebenfalls möglich andere Merkmale zu überprüfen. Zum Beispiel das Datum, wann der Schlüssel erzeugt wurde.

Schritt 4: Überprüfen der Signatur

– Auf das Traysymbol klicken und „Dateimanager“ auswählen
– Die .asc bzw. .sig Datei(en) per „Drag and Drop“ in das Fenster ziehen; oder
– Die .asc bzw. .sig Datei(en) über Datei>Öffnen hinzufügen
– Bei mehren Dateien die gewünschten auswählen
– Auf Datei > „Überprüfen“ klicken

Nun zeigt die graphische Oberfläche ein Fenster an, das angibt:
– welche Signaturen geprüft wurden,
– ob die Signaturen gültig sind,
– wann die Signaturen erstellt wurden,
– welches Vertrauen dem Schlüssel entgegengebracht wird,
– welche Schlüssel-IDs vorliegen,
– wer als Schlüsselinhaber ausgewiesen wird

Das Prüfen von zukünftigen Versionen des TorBrowserBundles erfordert lediglich Schritt 4.